米Googleは、オープンソースソフトウェアの脆弱性に対処する方法として、「知る、防ぐ、修正する」というフレームワークを提案している。
Googleが提案するフレームワークは、
- ソフトウェアの脆弱性について知る
- 新しい脆弱性の追加を防ぐ
- 脆弱性を修正または削除する
で構成される。
「ソフトウェアの脆弱性について知る」では、利用可能なデータソースからの正確な脆弱性メタデータの取得や、オープンソースの脆弱性を追跡および維持し、その結果を理解し、緩和策を管理するための脆弱性データベースを利用する標準脆弱性スキーマの構築、脆弱性の影響を受けるソフトウェアをすばやく理解するためのツールが必要となる。
「新しい脆弱性の追加を防ぐ」では、ソフトウェア開発にあたって使用するパッケージの脆弱性を知ることが必要であり、それを実現する方法の1つとして、「セキュリティスコアカード」プロジェクトを紹介している。
「脆弱性を修正または削除する」では、脆弱性を削除するためのオプションを理解するとともに、より迅速な修正を行うための通知の促進、広く使用されているバージョンの修正を求めた。
そのほか、同フレームワークに基づく、クリティカルなソフトウェアにおける脆弱性の防止策として、
- より高い基準に値する「重要な」オープンソースプロジェクトの基準を定義する
- 重要なソフトウェアに一方的な変更を加えない
- 重要なソフトウェアの参加者の認証
- 通知リスクの変化をカバーするよう通知を拡張
- ソフトウェアアーティファクトへの透明性の追加
- 信頼できるビルドプロセスの構築
を提案している。
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
